Hallo Trojaner-Board,

hatte die letzten Tage mit Viren (VBS/Haptime.A@mm) und Trojanern
(Trojan-Spy.Win32.Agent.bs) zu kaempfen.
Nun nach stundenlagen Saeuberungsaktionen erkennt mein Virenprogramm Norman NVC5.7 keine Schaedlinge mehr. Wenn ich jedoch den Sicherheitscheck von Symantec (gibt es auf der Symantec Website) durchfuehre erkennt dieser den Trojaner Trojan.Comtxt in der Datei
...\Lokale Einstellungen\Temp\Bookmarks.exe

Unter der Beschreibung steht, dass man 3 Eintraege in der Registry loeschen soll.
Meine Frage ist nun, da mein Norman Virenscanner den Trojaner nicht erkennt,
kann ich diesen ja auch nicht loeschen. Kann ich nun die Datei Bookmarks.exe loeschen, und ist dann der Trojaner weg. Sind in dieser Datei die Bookmarks abgelegt.

Eigentlich bedeutet es doch auch, dass ich auf einen anderen Scanner wechseln sollte.

Was verwendet Ihr so ?


Vielen Dank Gruss
Clemenza

Hi,

poste bitte erstmal ein Log mit HijackThis hier her,und dann schauen wir weiter!

http://filepony.de/download-hijackthis/

Gruss

Hallo HerrKautz,

hier mein Logfile.


Logfile of HijackThis v1.99.0
Scan saved at 16:40:37, on 28.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\TBPanel.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\WINDOWS\System32\rundll32.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe
C:\NORMAN\Nvc\Bin\niu.exe
D:\PC\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Tiscali
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ConferenceRoom Java Client - http://207.218.219.226:8000/java/cr.cab
O16 - DPF: MynetSohbet - http://irc.mynet.com/java/cr.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/...LER_loader.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify214.cab
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OpcEnum - Softing AG - C:\WINDOWS\System32\OpcEnum.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony

Hi,

mach bitte noch einen escan im abgesicherten Modus,gehe dazu genau nach dieser Anleitung vor,und poste was gefunden wird:

http://www.trojaner-board.de/42731-escan-anleitung.html

Der Scan dauert etwa 1 Stunde!

Danach sehn wir weiter!

Gruss

Hi,

habe nach Anleitung einen Scan durchgeführt, und vermute Du willst diese
Datei sehen.

[msvLclnt.dll] [0x000003f4] 28/12/2004 18:15:39:578 :ModuleName = C:\bases\mwavscan.com
[msvLclnt.dll] [0x000003f4] 28/12/2004 18:15:39:578 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x000003f4] 28/12/2004 18:15:43:156 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x000003f4] 28/12/2004 18:15:43:156 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x000003f4] 28/12/2004 18:15:43:156 :TimeOut : ffffffff
[msvLclnt.dll] [0x000003f4] 28/12/2004 18:15:43:156 :Priority : NORMAL
[msvLclnt.dll] [0x000003f4] 28/12/2004 18:15:43:875 :VirusCount = 114088 Latest Date = 2004/12/28
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:17:04:359 :[00000001] File C:\:comxt.exe infected by TrojanDownloader.Win32.Agent.ca
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:17:38:406 :[00000001] File C:\WINDOWS\gmz-10008.exe infected by not-a-virus:RiskWare.Dialer.gen
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:17:44:125 :[00000001] File C:\WINDOWS\p2p-10081.exe infected by not-a-virus:RiskWare.Dialer.gen
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:17:44:312 :[00000001] File C:\WINDOWS\p2p-10108.exe infected by not-a-virus:RiskWare.Dialer.gen
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:19:47:781 :[00000001] File C:\WINDOWS\System32\pornovideo.exe infected by Trojan.Win32.Makecall.e
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:20:53:671 :[00000001] File C:\DOKUME~1\Taner\LOKALE~1\Temp\bookmark.exe infected by TrojanDownloader.Win32.Agent.ca
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:21:47:656 :[00000001] File C:\DOKUME~1\Taner\LOKALE~1\Temp\~tmp(1535-130{DE).exe infected by not-a-virus:RiskWare.Dialer.Generic
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:21:47:828 :[00000001] File C:\DOKUME~1\Taner\LOKALE~1\Temp\~tmp(2012-54{DE).exe infected by not-a-virus:RiskWare.Dialer.P2PAg.b
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:25:32:015 :[00000001] File C:\Dokumente und Einstellungen\Taner\Eigene Dateien\0190 Warner\Quarantaene\0.dialer infected by not-a-virus:Porn-Dialer.Win32.Generic
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:25:56:171 :[00000001] File C:\Dokumente und Einstellungen\Taner\Lokale Einstellungen\Temp\bookmark.exe infected by TrojanDownloader.Win32.Agent.ca
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:26:32:281 :[00000001] File C:\Dokumente und Einstellungen\Taner\Lokale Einstellungen\Temp\~tmp(1535-130{DE).exe infected by not-a-virus:RiskWare.Dialer.Generic
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:26:32:421 :[00000001] File C:\Dokumente und Einstellungen\Taner\Lokale Einstellungen\Temp\~tmp(2012-54{DE).exe infected by not-a-virus:RiskWare.Dialer.P2PAg.b
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:27:29:000 :[00000001] File C:\gendel32.exe infected by not-a-virus:RiskWare.Tool.Gendel
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:59:52:437 :[00000001] File C:\WINDOWS\Downloaded Program Files\ieloader.dll infected by TrojanDownloader.Win32.Ladder
[msvLclnt.dll] [0x0000045c] 28/12/2004 18:59:53:250 :[00000001] File C:\WINDOWS\Downloaded Program Files\StarInstall.ocx infected by TrojanDownloader.Win32.Small.eb
[msvLclnt.dll] [0x0000045c] 28/12/2004 19:01:39:218 :[00000001] File C:\WINDOWS\gmz-10008.exe infected by not-a-virus:RiskWare.Dialer.gen
[msvLclnt.dll] [0x0000045c] 28/12/2004 19:07:19:828 :[00000001] File C:\WINDOWS\p2p-10081.exe infected by not-a-virus:RiskWare.Dialer.gen
[msvLclnt.dll] [0x0000045c] 28/12/2004 19:07:20:031 :[00000001] File C:\WINDOWS\p2p-10108.exe infected by not-a-virus:RiskWare.Dialer.gen
[msvLclnt.dll] [0x0000045c] 28/12/2004 19:16:26:750 :[00000001] File C:\WINDOWS\system32\pornovideo.exe infected by Trojan.Win32.Makecall.e
[msvLclnt.dll] [0x0000045c] 28/12/2004 19:20:49:562 :[00000001] File D:\PC\Software\WinDSL-Tiscali.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x0000045c] 28/12/2004 19:21:38:000 :[00000001] File D:\PC\Treiber\KaZaA\kazaa.exe infected by not-a-virus:RiskWare.Dialer.gen
[msvLclnt.dll] [0x0000045c] 28/12/2004 19:22:55:375 :VirusCount = 114088 Latest Date = 2004/12/28
[msvLclnt.dll] [0x000003f4] 28/12/2004 19:24:13:140 :VirusCount = 114088 Latest Date = 2004/12/28

@ clemenza,

noch ne Bitte dazu, gib das Ergebnis des eScan an, es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

.. und eigentlich sind wir hier gewohnt, dass unsere User die "mwav.log" öffnen und das Ergebnis dann auf diese Weise ins Forum tragen: -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. (mit Dank an Cidre) Es ist ok so, wie Du es gepostet hast .. wenn wir wissen, wieviele Viren Du insgesamt auf dem System hast, können wir uns ans ausarbeiten machen.

SD

Mein Tip zu deiner allerersten Frage: ich hatte Norton,hatte Norman, und schwöre auf G-data, dieser ist ein gemeinschaftliches AV-Programm von Kaspersky & Bit-Defender

Kaspersky und Bitdefender haben mit G-Datas AVK nichts zu tun. AVK benutzt nur die Engine von KAV und Bitdefender.

Hallo Board,

hier noch die fehlenden Angaben. Ich hoffe, daß Ihr mir jetzt helfen könnt.

Ich möchte auch ein Lob an Alle richten, bin überwältigt, wie hilfsbereit man
in diesem Forum hier ist.

Total Files Scanned: 46727
Total Virus(es) Found: 21
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Files: 0
Total Errors: 64
Time Elapsed: 01:06:14
Virus Database Date: 2004/12/28
Virus Database Count: 114088



Gruß Clemenza

Leere deinen Temp-Ordner im abg. Modus. Die restlichen gefundenen Dateien lösche manuell im abg. Modus.

Mit HijackThis fixen:

O16 - DPF: ConferenceRoom Java Client - http://207.218.219.226:8000/java/cr.cab
O16 - DPF: MynetSohbet - http://irc.mynet.com/java/cr.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/b...g/GoogleNav.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc...LLER_loader.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify214.cab
Windows updaten: www.windowsupdate.com

Hi,

wenn ich die Datei bookmark.exe im Temp Ordner loesche, sind dann die
Bookmarks weg, oder sind die an anderer Stelle abgelegt.

Gruss und Danke

Clemenza

Guten Abend,

habe nun die infizierten Dateien gelöscht und die O16 Dateien mit Hijack
gefixt. Ich kann aber die Datei c:\:comxt.exe nicht finden.
Habe schon bei Ordneroptionen die Einstellungen wie "alle Dateien anzeigen" und "geschützte Dateien ausblenden" abgewählt.
Wie gehe ich nun vor.

Gruß
Clemenza

Versuche diese Datei im abgesicherten Modus zu löschen und die nachfolgende Beschreibung abzuarbeiten: http://securityresponse.symantec.com...jan.comxt.html

Hallo an Alle,

wünsche Euch allen ein glückliches, gesundes und frohes Jahr.
Bedanke mich für Eure fantastische Hilfe, bin alle Viren und Trojaner los.
Habe mir auch am Freitag von Gdata AVK2005 InternetSecurity geholt und installiert. Natürlich vorher auch Service Pack 2 installiert.

Eine Frage habe ich noch:

Das Protokollfenster der Firewall zeigt fast minütlich einen Angriff durch Lovesan,
mit erfolgreicher Abwehr.
Ist das Normal, das ständig Angriffe erfolgen ?

Gruß
Clemenza

@ clemenza

Zitat:

Zitat von clemenza

Das Protokollfenster der Firewall zeigt fast minütlich einen Angriff durch Lovesan, mit erfolgreicher Abwehr. Ist das Normal, das ständig Angriffe erfolgen ?

Welche Firewall verwendest Du denn? Die meisten Firewalls schlagen Alarm, wenn Portscans gemacht werden, was aber nicht heisst, dass Dein Rechner angegriffen wird. Zu Firewalls kannst Du Dich hier informieren: Firewall - Rubrik. Windows SP2 hat eine eigene Firewall, versuch's mal damit.